Шаги воспроизведения:
1) # apt-get install trivy trivy-server trivy-db trivy-java-db
2) # systemctl enable --now trivy.service
3) $ git clone git://git.altlinux.org/gears/t/trivy.git
4) $ trivy rootfs trivy/pkg/dependency/parser/java/jar/testdata/ --debug --server http://$(hostname -i):4954

Фактический результат:
При сканировании обновляется Java Index Database

Ожидаемый результат:
Используется локальная Java Index Database, аналогично основной Vulnerability Database

Для того, чтобы использовалась локальная БД уязвимостей,в службе /usr/lib/systemd/system/trivy.service используется опция --skip-db-update
Но опции '--skip-java-db-update          skip updating Java index database', необходимой для аналогичной работы для БД индексов Java, нету в режиме сервера. При этом она присутствует, к примеру, при выполнении локального сканирования:
$ trivy filesystem -h
...
DB Flags
      --db-repository strings        OCI repository(ies) to retrieve trivy-db in order of priority (default [altlinux.space/trivy/trivy-db:2])
      --download-db-only             download/update vulnerability database but don't run a scan
      --download-java-db-only        download/update Java index database but don't run a scan
      --java-db-repository strings   OCI repository(ies) to retrieve trivy-java-db in order of priority (default [altlinux.space/trivy/trivy-java-db:1,mirror.gcr.io/aquasec/trivy-java-db:1,ghcr.io/aquasecurity/trivy-java-db:1])
      --no-progress                  suppress progress bar
      --skip-db-update               skip updating vulnerability database
      --skip-java-db-update          skip updating Java index database
...

Как обход проблемы, можно самому добавить --skip-java-db-update при выполнении сканирования. Но было бы гораздно удобнее, если бы она была и в режиме сервера ($ trivy server), а затем и в /usr/lib/systemd/system/trivy.service
Вешаю на trivy, поскольку проблема в его исходниках.